TB und Viren – Bitdefender zeigt falsch an

Home-›Foren-›Thunderbird-›TB und Viren – Bitdefender zeigt falsch an

15 Antworten anzeigen - 1 bis 15 (von insgesamt 33)
  • Autor
    Beitrag
  • #149591
    vanda69
    Participant

      Hallo
      Hast du schon mal den Logeintrag bei Bitdefender gelöscht?Und bist du sicher das du keine Viren mehr hast?Würde an deiner Stelle mal dein System Online Scannen oder mit Hijackthis eine Logfile erstellen!Um welche Art von Virus handelt es sich?

      Graphics-and-School-of-Fantasy
      http://www.graphics-and-school-of-fantasy.de/
       

      #149593
      Lauxi
      Participant

        Danke!

        Das mit dem Logfile probiere ich aus, muss es aber erst finden bei BD. Da bin ich nicht drauf gekommen.

        Welche Viren? Ich sehe nachher mir den PC an und melde mich nochmals.

        Vorab mal Danke!!

        #149597
        vanda69
        Participant

          Hallo
          Solltest du ein Logfile mit Hijackthis machen und Probleme bei der Auswertung bekommen,stelle das Logfile hier rein!

          mfg chris

          Graphics-and-School-of-Fantasy
          http://www.graphics-and-school-of-fantasy.de/
           

          #149601
          Lauxi
          Participant

            Also ich habe gerade einen PC genommen, auf dem IMAP Mails sind und keine pop3 Mails.

            Auch dort das gleiche Problem. Auch hier werden E-Mail-Viren angezeigt, die nicht mehr vorhanden sind. Es war ein Trojaner (Download). Das Mail existiert aber nicht mehr. Weder im Posteingang noch im Mülleimer. Es wurde längst gelöscht, die Ordner Indexe neu erstellt. Bitdefender lief gerade über den User-Ordner drüber und hat diese Virenmails aktuell angezeigt.

            Ich verzweifle noch…

            Von diesem PC (IMAP-Mail-Viren) habe ich gerade eine Analyse gemacht (Interne Daten (Domain etc. habe ich mit GELÖSCHT versehen; sollte ich \”heisse\” Angaben übersehen haben zu löschen, bitte kurz mitteilen! – Danke!):

            Logfile of Trend Micro HijackThis v2.0.0 (BETA)
            Scan saved at 13:03:27, on 06.09.2007
            Platform: Windows 2000 SP4 (WinNT 5.00.2195)
            Boot mode: Normal

            Running processes:
            D:\\WINNT\\System32\\smss.exe
            D:\\WINNT\\system32\\winlogon.exe
            D:\\WINNT\\system32\\services.exe
            D:\\WINNT\\system32\\lsass.exe
            D:\\WINNT\\system32\\svchost.exe
            D:\\WINNT\\system32\\spoolsv.exe
            D:\\WINNT\\System32\\svchost.exe
            D:\\WINNT\\system32\\hidserv.exe
            D:\\WINNT\\system32\\regsvc.exe
            D:\\WINNT\\system32\\MSTask.exe
            D:\\WINNT\\System32\\WBEM\\WinMgmt.exe
            D:\\Programme\\UltraVNC\\WinVNC.exe
            D:\\WINNT\\system32\\svchost.exe
            D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe
            D:\\WINNT\\System32\\svchost.exe
            D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
            D:\\WINNT\\Explorer.EXE
            D:\\WINNT\\system32\\VTTimer.exe
            D:\\Programme\\FreePDF_XP\\fpassist.exe
            D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe
            D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
            D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe
            D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
            D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
            D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
            D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
            D:\\PROGRA~1\\MOZILL~1\\FIREFOX.EXE
            D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
            D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
            D:\\Programme\\Softwin\\BitDefender10\\bdlite.exe
            D:\\Dokumente und Einstellungen\\AA\\Desktop\\HiJackThis_v2.exe

            R0 – HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = about:blank
            R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyServer = GELÖSCHT
            R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = localhost, 127.0.0.1, .GELÖSCHT, GELÖSCHT;
            O2 – BHO: Adobe PDF Reader – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\\Programme\\Gemeinsame Dateien\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll
            O2 – BHO: (no name) – {53707962-6F74-2D53-2644-206D7942484F} – D:\\PROGRA~1\\SPYBOT~1\\SDHelper.dll
            O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
            O3 – Toolbar: @msdxmLC.dll,-1@1031,&Radio – {8E718888-423F-11D2-876E-00A0C9082467} – D:\\WINNT\\System32\\msdxm.ocx
            O4 – HKLM\\..\\Run: [Synchronization Manager] mobsync.exe /logon
            O4 – HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
            O4 – HKLM\\..\\Run: [nwiz] nwiz.exe /install
            O4 – HKLM\\..\\Run: [VTTimer] VTTimer.exe
            O4 – HKLM\\..\\Run: [FreePDF Assistant] D:\\Programme\\FreePDF_XP\\fpassist.exe
            O4 – HKLM\\..\\Run: [FinePrint Dispatcher v5] \”D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\” /source=HKLM
            O4 – HKLM\\..\\Run: [Adobe Reader Speed Launcher] \”D:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\”
            O4 – HKLM\\..\\Run: [BDMCon] D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
            O4 – HKLM\\..\\Run: [BDAgent] \”D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe\”
            O4 – HKLM\\..\\Run: [NeroFilterCheck] D:\\WINNT\\system32\\NeroCheck.exe
            O4 – HKLM\\..\\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
            O4 – HKLM\\..\\Run: [WinVNC] \”D:\\Programme\\UltraVNC\\WinVNC.exe\” -servicehelper
            O4 – HKCU\\..\\Run: [updateMgr] \”D:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\” AcRdB7_0_8 -reboot 1
            O4 – HKCU\\..\\Run: [ccleaner] \”D:\\Programme\\CCleaner\\ccleaner.exe\” /AUTO
            O4 – HKCU\\..\\Run: [LDM] D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
            O4 – HKUS\\.DEFAULT\\..\\Run: [internat.exe] internat.exe (User \’Default user\’)
            O4 – HKUS\\.DEFAULT\\..\\Run: [Symantec NetDriver Warning] D:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe (User \’Default user\’)
            O4 – HKUS\\.DEFAULT\\..\\RunOnce: [^SetupICWDesktop] D:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop (User \’Default user\’)
            O4 – Startup: Automachron.lnk = D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
            O4 – Startup: Microsoft Word.lnk = D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
            O4 – Startup: Mozilla Thunderbird.lnk = D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
            O4 – Global Startup: Logitech Desktop Messenger.lnk = D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
            O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
            O9 – Extra \’Tools\’ menuitem: Sun Java Konsole – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
            O9 – Extra button: Related – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
            O9 – Extra \’Tools\’ menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
            O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185402215847
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: Domain = GELÖSCHT
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: NameServer = 192.168.2.10,192.168.2.5
            O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{DE5DC188-9A40-4DEA-B13B-3B56C3147F08}: NameServer = 192.168.2.5,192.168.2.10
            O17 – HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
            O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
            O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
            O17 – HKLM\\System\\CS2\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
            O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
            O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = GELÖSCHT
            O18 – Protocol: bwfile-8876480 – {9462A756-7B47-47BC-8C80-C34B9B80B32B} – D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\GAPlugProtocol-8876480.dll
            O22 – SharedTaskScheduler: Browseui preloader – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – D:\\WINNT\\System32\\browseui.dll
            O22 – SharedTaskScheduler: Component Categories cache daemon – {8C7461EF-2B13-11d2-BE35-3078302C2030} – D:\\WINNT\\System32\\browseui.dll
            O23 – Service: BitDefender Local Manager (BDLM) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Local Manager\\bdlm.exe (file missing)
            O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
            O23 – Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) – VERITAS Software Corp. – D:\\WINNT\\System32\\dmadmin.exe
            O23 – Service: BitDefender Desktop Update Service (LIVESRV) – SOFTWIN S.R.L. – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
            O23 – Service: AOpen NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – D:\\WINNT\\System32\\nvsvc32.exe
            O23 – Service: BitDefender Virus Shield (VSSERV) – SOFTWIN S.R.L. – D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
            O23 – Service: VNC Server (winvnc) – UltraVNC – D:\\Programme\\UltraVNC\\WinVNC.exe
            O23 – Service: BitDefender Communicator (XCOMM) – SOFTWIN S.R.L – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe


            End of file – 7682 bytes

            #149604
            vanda69
            Participant

              Hallo
              Was mir auffällt ist das du die C Einträge nicht angegeben hast!
              Nun zum Logfile:
              O17 – HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
              O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
              O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: Domain = GELÖSCHT
              O17 – HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
              O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
              O17 – HKLM\\System\\CS2\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
              O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
              O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = GELÖSCHT

              Solltes du die nicht kennen,unbedingt fixen!!!Wie lautet die genaue Bezeichnung vom Trojaner?
              So wie mir das aussieht solltest du dein Rechner neu aufsetzen!

              Stelle bitte das ganze Logfile noch mal rein!

              Noch eins hast du mal Norton auf dein Rechner gehabt?
              O4 – HKUS\\.DEFAULT\\..\\Run: [Symantec NetDriver Warning] D:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe (User \’Default user\’)

              [Editiert am 27.08.2007 von vanda69]

              Graphics-and-School-of-Fantasy
              http://www.graphics-and-school-of-fantasy.de/
               

              #149605
              Lauxi
              Participant

                Was ist mit C Einträgen bitte gemeint? Was müßte ich bitte fixen? Sorry, ich steh grad auf der Leitung.

                Der PC wird voraussichtlich in den nächsten Wochen zufälligerweise eh neu aufgesetzt.

                Sind aber mehrere PCs von diesem seltsamen Verhalten vorhanden. Einer mit pop3, wurde von mir kürzlich neu installiert mit BD 10 Antivirus, und mehrere mit IMAP und BD10IS.

                Das GELÖSCHT habe ich geschrieben: Interne Daten damit überschrieben 😉

                Lt. Hijackthis war nichts ungewöhnliches dabei. Aber sicher bin ich mir auch nicht.

                Aber eigentlich auch nicht möglich, weil TB ja diese Dateien sofort sperrt. Auch wurden diese Mails nie geöffnet bzw. die Anhänge gestartet. Leider hat die Hardwarefirewall die Virenmails nicht gleich geblockt – weil IMAP.

                Wg. Norton: ich denke nicht, habe aber die PCs erst vor ca. einem Jahr \”übernommen\”; könnte also sein, dass das mal drauf war.

                [Editiert am 6/9/2007 von Lauxi]

                #149608
                vanda69
                Participant

                  Hallo
                  Achso,habe mich schon gewundert über das Gelöscht!
                  Habe mir das Logfile nun genau mal angeschaut und ich brauche wirklich langsam eine Brille!Ihr benutzt ja NT als BS!Also ein Trojaner wird nicht von einer Firewall geblockt dazu ist dein Virenscanner zuständig!Wenn aber alle solches Verhalten zeigen,würde ich mal ein Online Scann machen!Benutzt ihr alle Bitdefender?
                  mfg chris

                  Graphics-and-School-of-Fantasy
                  http://www.graphics-and-school-of-fantasy.de/
                   

                  #149610
                  Lauxi
                  Participant

                    Null Problemo 😀

                    Sind ja auch viele Daten 🙂

                    Ja, bei allen Clients ist BD10 IS naglneu drauf, vorher BD8 Pro.

                    Hardwarefirewall ist mit Antivirenschutz, E-Mailschutz etc. vollständig ausgestattet, aber nützt bei IMAP nix. Wird sich aber mit einer Neueinrichtung eines Mailservers auch mal noch ändern… Dauert noch etwas.

                    Online-Scan: wo? Bei Bitdefender selber? Kaspersky?

                    Mich ärgert maßlos, dass sich BD nicht mehr meldet. Habe schon 3 mal reklamiert wegen Antwort.

                    Ist das ein BD oder ein TB-Problem? Bin mir da nicht so sicher.

                    Außerdem soll man ja den Profilordner eigentlich bei IMAP-Mails bei TB nicht scannen. Das ganze fiel nur auf, weil versehentlich ein Scan durchlief, OBWOHL IN DEN EINSTELLUNGEN DER PFAD PROFILE AUSGENOMMEN WAR!

                    Auch darüber ärgere ich mich sehr bei Bitdefender! Aber OK, so fiel es wenigstens mal auf, aber ich schaffe es nicht das Problem zu lösen ;(

                    #149612
                    vanda69
                    Participant

                      Hallo
                      Ich würde Kaspersky nehmen oder Panda!

                      Habe mal nachgeschaut nach den Trojaner ist schon ein wenig älter!

                      mfg chris

                      Graphics-and-School-of-Fantasy
                      http://www.graphics-and-school-of-fantasy.de/
                       

                      #149613
                      vanda69
                      Participant

                        Kannst du noch mal schreiben wie der Trojaner heißt Trojaner Download?z.b. W32.Small.BXP

                        oder heißt er Troj/Download-A

                        http://www.sophos.de/virusinfo/analyses/trojdownloada.html

                        [Editiert am 27.08.2007 von vanda69]

                        Graphics-and-School-of-Fantasy
                        http://www.graphics-and-school-of-fantasy.de/
                         

                        #149617
                        Lauxi
                        Participant

                          Danke!!!

                          Ich schau nachher gleich nochmals nach, im Moment wird an dem PC noch gearbeitet, sonst kriege ich User-Haue 😉

                          Wenn irgend möglich, poste ich heute Abend wie die Viren genau heißen. Zumindest mal bei dem IMAP-PC.

                          Auf den Strato kann ich derzeit net zugreifen. Reiche ich auch nach!

                          Ich lasse dann auch mal das online-prüfen laufen.

                          Muss ich keinen Datenverlust bei TB befürchten, wenn das Profil-Verzeichnis geprüft wird? Angeblich sei das doch bei TB so… :question:

                          Herzlichen Dank mal vorab!!

                          #149623
                          vanda69
                          Participant

                            Ups,jetzt hast du mich aber auf den falschen Fuß erwischt,das mit TB weiß ich nicht !Benutze es nicht!Sorry!

                            mfg chris

                            Graphics-and-School-of-Fantasy
                            http://www.graphics-and-school-of-fantasy.de/
                             

                            #149625
                            Lauxi
                            Participant

                              Ich bin mir selber nicht sicher.

                              Habe es schön öfters gehört und empfohlen bekommen.

                              Aber genau da sind die gelöschten Virenmails zu finden…

                              Mir ein Rätsel…

                              Was tun???

                              #149627
                              vanda69
                              Participant

                                Ich kann mir nicht Vorstellen das bei ein Online Scann ein Datenverlust passiert!Würde mir neu sein!Vielleicht kommt noch die Antwort von ein der TB besser kennt!

                                mfg chris

                                Graphics-and-School-of-Fantasy
                                http://www.graphics-and-school-of-fantasy.de/
                                 

                                #149628
                                vanda69
                                Participant

                                  Hallo
                                  Was mir noch Einfällt,sind die Mails auch bei dein MailProvider gelöscht,nicht das er sie jedes mal neu abruft!

                                  Graphics-and-School-of-Fantasy
                                  http://www.graphics-and-school-of-fantasy.de/
                                   

                                15 Antworten anzeigen - 1 bis 15 (von insgesamt 33)

                                Hat Ihnen der Beitrag gefallen?

                                1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Keine Bewertung vorhanden)
                                Loading...